Wie man Bewusstsein für Supply-Chain-Attacken schafft
Die Gefahr der Angriffe über die Accounts oder Services von Drittanbietern
Supply-Chain-Awareness
Die letzten Jahre haben eine ständige Zunahme von Attacken über Drittanbieter (=der sogenannten Supply Chain) gebracht: Mittels Tools, Diensten oder gehackten Accounts von Partnerunternehmen versuchen Hacker dabei, in das System oder Netzwerk des Zielunternehmens einzudringen.
Nicht nur die Schulung der eigenen Mitarbeiter:innen, sondern auch ein genaues Screening der Partnerunternehmen in der eigenen Supply Chain wird damit immer mehr zum Thema. Je nach Branche ist dieser Trend mittlerweile auch schon zu einer durch Regulative geregelten Notwendigkeit geworden. Viele Ausschreibungen für neue Aufträge enthalten bereits jetzt Anforderungen für Standards wie ISO 27001, oder branchenrelevante Anforderungen wie beispielsweise PCI DSS (Payment Card Industry Data Security Standard) oder HIPAA (Health Insurance Portability and Accountability Act). Eine weitere Standardisierung ist zu erwarten.
Das Supply Chain Management ist jedenfalls ein komplexes Thema. Es umfasst neben dem Einkauf auch die Rechtsabteilung und natürlich die IT. Neben der Validierung der Partner rückt damit auch die Betrachtung über wesentliche Abhängigkeiten und die Kalkulation von Ausfällen systemkritischer Partnerunternehmen zunehmend ins Visier.
Wie man ein Bewusstsein für Supply-Chain-Angriffe schafft
Das Risiko der Kompromittierung durch Drittanbieter kann durch einige Maßnahmen wesentlich verringert werden. Dazu gehören unter anderem:
- Starke Authentifizierungsmaßnahmen: Der Schutz von Zugangsdaten sollte oberste Priorität haben. MFA (Multi Factor Authentication) oder das Bereitstellen von Passwort-Managern zur leichteren Verwaltung der Zugangsdaten leisten dabei einen wertvollen Beitrag.
- Verschlüsselung der Daten: Um den unerfreulichen Folgen eines möglichen Datenverlustes zuvorzukommen, sind sämtliche Maßnahmen zu treffen, die Daten verschlüsseln und für fremde Hände unverwertbar machen.
- BCM & Notfallspläne: Das Sicherstellen eines Notbetriebes sowie die Vorbereitung auf den Ernstfall sind notwendiger Teil der Vorsorge.
- Schulung der Mitarbeitenden: Das Bewusstsein über Angriffsszenarien – eben auch eine mögliche Gefahr über Services oder Accounts von Partnerunternehmen oder vertraute Quellen sind wesentlicher Teil der Vorsorgemaßnahmen.
- Externe Audits und Self-Assessments der getroffenen Maßnahmen: Sie helfen, mögliche Risiken vorab zu erkennen und gegebenenfalls zu korrigieren.
Die FH Steyr hat in Kooperation mit Cyber Trust Austria einen Leitfaden für Unternehmen veröffentlicht, der hilft die Gefährdung über die eigene Supply Chain zu evaluieren. Folgende Fragen helfen bei der Klärung:
- Ist der Umsatzanteil des SC-Partner signifikant für Ihr Unternehmen?
- Hat der SC-Partner Zugriff auf geistiges Eigentum Ihres Unternehmens?
- Hat der SC-Partner Zugriff auf Daten Ihres Unternehmens?
- Hat der SC-Partner Zugriff auf die System- und Netzwerkinfrastruktur Ihres Unternehmens?
- Hat der SC-Partner Zugriff auf Kundendaten?
- Gibt es eine EDI Schnittstelle (oder ähnliche) zum SC-Partner?
- Ist der SC-Partner ein Single Source?
- Ist der SC-Partner in den Entwicklungs- und/oder Innovationsprozess Ihres Unternehmens eingebunden?
- Führt ein Ausfall beim SC-Partner zum Produktionsstop bzw. zu einer Produktionseinschränkung?
- Liefert der SC-Partner ein smartes Produkt?
- Liefert der SC-Partner Schnelldreher oder beliefern Sie den SC-Partner mit Schnelldreher?
- Ist der SC-Partner in den Produktionsprozess hoch integriert?
- Ist der SC-Partner und dessen Produkte/Services schnell durch Alternativen ersetzbar?
- Hat der SC-Partner einen Fernwartungszugang zu Ihren Systemen?
- Bezieht Ihr Unternehmen Software as a Service beim SC-Partner?
